大丈夫?あなたの使うパスワード ~2015年のワーストパスワード25

20160127_04

こんにちは。頻繁に各種のパスワード変更するので、忘れないように自分の中で規則性を設けて設定しているアクトゼロの高寺です。

現在、世間を賑わせている、人気歌手とタレントの不倫騒動。流出した、2人のLINEでのやりとりが生々しく報じられていますが、これは第三者がクローンiPhoneを所有している可能性が高いと言われています。

20160127_01

クローンiPhoneとは、iTunesを介して本人のiPhoneのバックアップを取り、別のiPhoneにバックアップデータをインストールして作ったもので、本人のiPhoneと全く同一の中身のものになります。本人のiPhoneのLINEに届くメッセージがそのままクローンiPhoneにも届くだけでなく、その他のSNSやメール、webサービスなど全てが本人のiPhone同様に利用することができるという、プライバシーも何も無くなってしまう、非常に恐ろしいものです。

本人のiPhoneをiTunesでバックアップを取るには、相当の身近な人でなければできないはずなので、関係者の間では、その第三者の存在もある程度予測付いているのではないでしょうか。

20160127_03

二人の関係を肯定する訳ではないですが、恐らくiPhoneのパスワードロックを掛けてなかったり、iTunesのパスワードをiPhone上で保存していたりした結果、流出に繋がったのだと思います。この件から得られる教訓は、セキュリティー意識を高くして、掛けられるものは必ずパスワードをかけることだと思います。

ただ、そのパスワードも、第三者が容易に予測できるものではあまり意味がありません。自分や家族の誕生日だったり、自宅の住所や電話番号だったり、簡単な数字の繰り返しや意味のある単語だったり。先日、米国のセキュリティ関連の企業であるSplashData社が、2015年に流出した200万件以上のパスワードを分析し、その中で最も多く使われていたパスワード・トップ25を発表しました。

1 – 123456 (unchanged from 2014)
2 – password (unchanged)
3 – 12345678 (Up 1)
4 – qwerty (Up 1)
5 – 12345 (Down 2)
6 – 123456789 (Unchanged)
7 – football (Up 3)
8 – 1234 (Down 1)
9 – 1234567 (Up 2)
10 – baseball (Down 2)
11 – welcome (New)
12 – 1234567890 (New)
13 – abc123 (Up 1)
14 – 111111 (Up 1)
15 – 1qaz2wsx (New)
16 – dragon (Down 7)
17 – master (Up 2)
18 – monkey (Down 6)
19 – letmein (Down 6)
20 – login (New)
21 – princess (New)
22 – qwertyuiop (New)
23 – solo (New)
24 – passw0rd (New)
25 – starwars (New)

SplashData’s fifth annual “Worst Passwords List” shows people continue putting themselves at risk

簡単な数字やアルファベットの羅列が目立ちます。ワースト1の「123456」は2014年からワーストの位置を守り続けています。2位の「password」も昨年よりワースト2位になっています。2015年は新たに「starwars」「princess」「solo」といった、映画「スターウォーズ」に関連するキーワードが新たにランクインしているのが、何とも、欧米らしいところですね。

20160127_02

弊社では2012年にISMS(情報セキュリティマネジメントシステム)認証を取得し、業務を通してお客様からお預かりする膨大な量の情報を、適切・安全に取り扱う環境やルールを定めて運用しています。各種パスワードに関するルールも細かく決めています。例えば、

・PCには5分で起動するようにパスワード付きでスクリーンセーバーを設定する
・スマートフォンにはパスワード(4桁以上)もしくはパターン認証を設定する
・スマートフォンは画面オフと連動してパスワードロックが掛かるように設定する
・各種パスワードは3ヶ月に一度変更を行う。変更確認後に記録を残す。
・パスワードは英数字(大文字・小文字)を混同した8文字以上で設定する

などを定めています。特に、パスワード変更が3ヶ月に1回行っていますが、当初は面倒に感じた部分もありますが、逆に今では安心感に繋がっています。業務外の私有パスワードも自ら同じタイミングで変更するようになった社員も居るようです。

セキュリティ意識を高く持ち、適切なパスワード管理を行うことは、事故や事件予防の第一歩です。